Schwerpunkte

Geschützte Maschinenkommunikation

Digitale Identitäten optimal absichern

06. April 2020, 08:38 Uhr   |  Günther Fischer


Fortsetzung des Artikels von Teil 1 .

Sicherer Einsatz von Zertifikaten

Wibu-Systems, Anbieter von Lösungen zu Softwareschutz, Lizenzierung und Security nimmt dem Einsatz von Zertifikaten mit CodeMeter Certificate Vault, das auf der CodeMeter-Technik beruht, die Komplexität und erhöht gleichzeitig die Sicherheit. Als Secure-Element dient dabei die Schutzhardware CmDongle mit integriertem Smartcard-Chip als sicherer Schlüsselspeicher und Cryptoprozessor – wie ein Tresor, der das Geheimnis der Schlüssel und Zertifikate wahrt. Die CmDongles gibt es in unterschiedlichen Formfaktoren wie USB, SD, Micro-SD, CF oder direkt als ASIC. CodeMeter Certificate Vault legt die Zertifikate im Smartcard-Chip sicher ab und bietet zusätzlich zum CodeMeter-API weitere Standardschnittstellen wie PKCS#11, KSP und OpenSSL an, um die Lösung in bestehende Anwendungen oder gemäß Kundenanforderungen zu integrieren. Der PKCS#11-konforme Token-Provider wurde so entwickelt, dass er mit Microsoft Cryptographic API Next Generation (CNG) oder der OpenSSL API zusammenarbeitet. Damit können Anwender auf einfache Art und Weise sichere Identitäten, digitale Signaturen, E-Mails oder VPN-Lösungen mit starken Authentifizierungsmechanismen einsetzen.

Mithilfe von CodeMeter License Central, dem Backend-System zur Erstellung, Verwaltung und Auslieferung von Lizenzen, lassen sich jetzt auch Zertifikate und Schlüssel sicher in CmDongles übertragen. So kann man Zertifikate mit minimalem Aufwand und vollständig automatisiert erstellen und ausrollen. Die privaten Schlüssel und Zertifikate können weder ausgelesen noch weitergegeben und auch nicht dupliziert oder kompromittiert werden. Jedes Mal, wenn ein Zertifikat zum Einsatz kommt, wird eine neue kryptographische Operation mit dem privaten Schlüssel durchgeführt. CodeMeter License Central reduziert die Komplexität von der Anforderung über die Aktualisierung bis hin zum Einspielen der signierten Zertifikate. Der gesamte Verwaltungs- und Erstellungsprozess erfolgt zentral, bei Bedarf einschließlich Einbindung einer übergeordneten Zertifizierungsstelle, beispielsweise in die CA einer unternehmensinternen IT-Abteilung. Dieses Trust-Center ist dann in der Lage zu attestieren, dass der zum Zertifikat gehörende öffentliche Schlüssel dieser Maschine oder diesem Gerät auch wirklich zugeordnet und gültig ist.

Wibu-Systems
© Wibu-Systems

Bild 2: Die Felder in Türkis markieren die Funktionen von CodeMeter Certificate Vault.

Werden die Schlüssel und Zertifikate in einer zentralen und sicheren Umgebung erzeugt, dann werden diese über das Admin-Tool CodeMeter Certificate Vault oder mittels CodeMeter License Central in einer verschlüsselten und nur von einem dedizierten CmDongle nutzbarer Update-Datei (WibuCmRaU) verpackt. Diese Datei überträgt Schlüssel und Zertifikat sicher in das CmDongle. Der Prozess zum Update der Dongles erfolgt mehrstufig mittels einer Request- (CmRaC) und einer Antwortdatei (CmRaU). Dieses Vorgehen vereinfacht den Prozess deutlich. Zusätzlich lassen sich die sicheren CodeMeter-Funktionen für die Nutzung von zeitbasierten Zertifikaten nutzen, da CodeMeter eine interne, gegen Manipulation gesicherte UTC-Zeit vorhält.

CodeMeter Certificate Vault bietet, wie bereits erwähnt, zusätzlich zum CodeMeter-API weitere Standardschnittstellen wie PKCS#11, KSP und OpenSSL an, um die Lösung in bestehende Anwendungen oder gemäß Kundenanforderungen zu integrieren. Bei dem Zusammenspiel von OpenSSL und CodeMeter Certificate Vault veranschaulicht wird im ersten Schritt ein CA-Root-Zertifikat erstellt, das anschließend einschließlich privatem Schlüssel sicher im Smartcard-Chip eines CmDongles gespeichert wird. Im nächsten Schritt wird unter Zuhilfenahme dieses Root-Zertifikats, das nun im CmDongle sicher hinterlegt ist, via OpenSSL und der CodeMeter Certificate Vault Engine ein 30 Tage gültiges dateibasiertes Zertifikat erstellt. In dieser Kombination nutzt OpenSSL nun den privaten Schlüssel und das zugehörige Zertifikat direkt aus dem CmDongle.

Fazit

Public-Key-Zertifikate spielen eine wichtige Rolle bei der Identifizierung von Personen, Organisationen oder anderen Objekten, wie Maschinen oder Geräten und dienen dem Nachweis der Echtheit und Unverfälschtheit von Daten. Die öffentlichen Schlüssel dieser Zertifikate und ihre zugehörigen privaten Schlüssel lassen sich dazu verwenden, einen sicheren Kommunikationskanal aufzubauen. Private Schlüssel sollten dazu gesondert, sicher und nicht auslesbar in einem Secure-Element, wie einem CmDongle, gespeichert werden.

Das gleiche gilt auch für die Ablage von Zertifikaten, denen standardmäßig vertraut und deren Echtheit nicht weiter überprüft wird. Um all das sicher zu stellen, bietet Wibu-Systems mit der CodeMeter License Central das passende Backend-System zur zentralen Verwaltung und Verteilung von Zertifikaten als auch den privaten Schlüsseln an. Damit sind die hohen Anforderungen für eine sichere Maschinen/Geräte-Identität, wie sie bei der Kommunikation zwischen Industrie-4.0-tauglichen Maschinen gestellt werden, erfüllt.

Seite 2 von 2

1. Digitale Identitäten optimal absichern
2. Sicherer Einsatz von Zertifikaten

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

WIBU-SYSTEMS AG